Leggere in inglese

Condividi tramite

Come ripristinare le configurazioni pc di base protette per gli amministratori aziendali

  • Articolo

Questo documento fornisce i passaggi per ripristinare le impostazioni di configurazione pc di base protette nello scenario in cui un cliente enterprise reimages un PC di base protetto e successivamente deve ripristinare tutte le funzionalità del PC protetto. In somma, questo documento illustra i passaggi per abilitare le funzionalità PC di base protette seguenti, disponibili anche nella pagina Web Windows 10 PC protetti:

  • Standby moderno
  • Protezione SMM (System Management Mode)
  • Protezione accesso alla memoria abilitata
  • Sicurezza di accesso avanzata in grado di
  • Integrità della memoria (HVCI) abilitata
  • Modulo piattaforma attendibile 2.0
  • Manutenzione dei dispositivi moderni
  • Avvio sicuro UEFI abilitato
  • Firmware Virtualization abilitato

Gestione delle impostazioni pc di base protette

In generale, le impostazioni per un PC protetto possono essere suddivise in due categorie: quelle che possono essere configurate tramite Windows e quelle configurate tramite il firmware UEFI del dispositivo. Tuttavia, anche in queste categorie, alcune delle impostazioni di Windows richiedono che il firmware del dispositivo disponga di impostazioni specifiche. Questo documento illustra come gestire queste impostazioni da queste due prospettive e chiamerà tutte le impostazioni del firmware necessarie per supportare tali impostazioni.

Impostazioni di Windows

Windows Defender Protezione del sistema e protezione SMM

Per proteggere le risorse critiche, ad esempio lo stack di autenticazione di Windows, i token di accesso Single Sign-On, lo stack biometrico di Windows Hello e il modulo della piattaforma attendibile virtuale, il firmware e l'hardware di un sistema devono essere affidabili. Windows Defender Protezione del sistema (WDSG) riorganizza le funzionalità di integrità del sistema Windows 10 esistenti sotto un tetto e imposta il successivo set di investimenti nella sicurezza di Windows. È progettato per rendere queste garanzie di sicurezza:

  • Proteggere e mantenere l'integrità del sistema durante l'avvio
  • Verificare che l'integrità del sistema sia stata effettivamente mantenuta tramite attestazioni locali e remote

WdSG protegge anche dagli attacchi SMM (System Management Mode). SMM è una modalità CPU a scopo speciale in microcontroller x86 che gestisce la gestione della potenza, la configurazione hardware, il monitoraggio termica e qualsiasi altra cosa il produttore ritiene utile. Ogni volta che viene richiesta una di queste operazioni di sistema, viene richiamato un interruzione non mascherabile (SMI) in fase di esecuzione, che esegue il codice SMM installato dal BIOS. Il codice SMM viene eseguito nel livello di privilegi più alto ed è invisibile al sistema operativo, che lo rende una destinazione attraente per l'attività dannosa. Anche se Protezione del sistema Avvio sicuro viene usato per avviare in ritardo, il codice SMM può potenzialmente accedere alla memoria dell'hypervisor e modificare l'hypervisor.

Per difendersi da questa operazione, vengono usate due tecniche:

  • Protezione del paging per impedire l'accesso inappropriato al codice e ai dati
  • Supervisione e attestazione hardware SMM

La protezione di paging può essere implementata per bloccare determinate tabelle di codice da leggere per impedire la manomissione. Ciò impedisce l'accesso a qualsiasi memoria non assegnata in modo specifico.

Una funzionalità del processore applicata all'hardware nota come gestore SMI supervisore può monitorare SMM e assicurarsi che non accinga a nessuna parte dello spazio indirizzi che non deve essere previsto.

La protezione SMM è basata sulla tecnologia Secure Launch e richiede che funzioni. In futuro, Windows 10 misurerà anche questo comportamento del gestore SMI e attesta che non è stata manomessa alcuna memoria di proprietà del sistema operativo.

La protezione WDSG può essere eseguita in diversi modi. Ad esempio, per abilitare la protezione WDSG usando Criteri di gruppo, si distribuisce il modello "Attiva sicurezza basata su virtualizzazione" e si imposta la configurazione di avvio sicuro:

Immagine della schermata editor criteri di gruppo denominata Disattiva sicurezza basata sulla virtualizzazione

Altre informazioni sui modi per abilitare Protezione del sistema Avvio sicuro sono illustrati di seguito:

Protezione accesso alla memoria

Windows sfrutta l'unità di gestione della memoria di input/output del sistema (IOMMU) per impedire alle periferiche esterne di avviare ed eseguire DMA a meno che i driver per queste periferiche supportino l'isolamento della memoria (ad esempio il remapping di DMA). Le periferiche con i driver compatibili con remapping DMA verranno enumerate automaticamente, avviate e consentite di eseguire il mapping DMA alle aree di memoria assegnate.

Per impostazione predefinita, le periferiche con IMA Remapping non compatibili verranno bloccate dall'avvio e dall'esecuzione di DMA fino a quando un utente autorizzato accede al sistema o sblocca lo schermo. Gli amministratori IT possono assicurarsi che questo comportamento predefinito venga applicato ai dispositivi con driver incompatibili DMA Remapping usando i criteri MDM DMAGuard e selezionando che il criterio sia abilitato.

Immagine della pagina Editor criteri di gruppo con criteri di enumerazione per i dispositivi esterni incompatibili con la protezione DMA

Sicurezza avanzata dell'accesso (ESS)

Windows Hello consente a un utente di eseguire l'autenticazione usando la biometria o un PIN eliminando la necessità di una password. L'autenticazione biometrica usa il riconoscimento facciale o l'impronta digitale per dimostrare l'identità di un utente in modo sicuro, personale e pratico. La sicurezza di accesso avanzata offre un livello di sicurezza aggiuntivo sfruttando componenti hardware e software specializzati, ad esempio La sicurezza basata sulla virtualizzazione (VBS) e il modulo di piattaforma attendibile per isolare e proteggere i dati di autenticazione di un utente e proteggere il canale da cui vengono comunicati i dati.

Per abilitare ESS in un'immagine personalizzata, è necessario assicurarsi che:

  1. Autenticazione viso
    1. HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SecureBiometrics è impostato su 1
    2. Il driver di fotocamera sicura OEM è installato
  2. Autenticazione con impronta digitale
    1. HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SecureBiometrics è impostato su 1
    2. HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SecureFingerprint è impostato su 1
    3. Il driver di impronta digitale sicura OEM è installato.

Integrità della memoria (HVCI)

Integrità della memoria, nota anche come Hypervisor-Protected integrità del codice (HVCI), è una funzionalità di sicurezza basata su virtualizzazione che fornisce protezione e protezione avanzata critiche del kernel Windows. Usa la virtualizzazione per isolare la funzione decisionale dell'integrità del codice dal resto del sistema operativo Windows, gestendo in modo sicuro la memoria del kernel e i processi eseguiti in questo ambiente con privilegi elevati. Per abilitare HVCI nei dispositivi Windows 10 con supporto hardware in un'azienda, usare una di queste opzioni:

Trusted Platform Module

La tecnologia Trusted Platform Module (TPM) è progettata per offrire funzioni correlate alla sicurezza basate su hardware. Un chip TPM è un livello di crittografia-processore protetto che è progettato per eseguire le operazioni di crittografia. Il chip include diversi meccanismi di sicurezza fisica per renderlo di manomissione e di software dannoso è in grado di alterare le funzioni di protezione del TPM. Alcuni dei vantaggi principali dell'uso di un TPM sono:

  • Generare, archiviare e limitare l'uso di chiavi di crittografia.
  • Usare la tecnologia TPM per l'autenticazione del dispositivo piattaforma usando la chiave RSA univoca di TPM.
  • Garantire l'integrità della piattaforma mediante l'analisi e l'archiviazione delle misure di sicurezza.

Le funzioni TPM più comuni sono usate per le misurazioni dell'integrità del sistema e per la creazione e l'uso delle chiavi. Durante il processo di avvio di un sistema, il codice di avvio caricato (inclusi il firmware e i componenti del sistema operativo) può essere misurato e registrato nel TPM. Le misurazioni dell'integrità possono essere usate come prova della modalità di avvio di un sistema e per garantire che venga usata una chiave basata sul TPM solo quando viene usato il software corretto per avviare il sistema.

Vedere Informazioni di configurazione TPM Criteri di gruppo impostazioni per informazioni dettagliate su come configurare i TPM tramite Criteri di gruppo. È inoltre possibile usare i cmdlet TPM per configurare il TPM.

Entrambi richiedono che il TPM sia abilitato nel firmware del dispositivo.

Manutenzione dei dispositivi moderni

Windows Update supporta la manutenzione dei dispositivi moderni e l'OEM del dispositivo fornirà Windows Update con i driver e il firmware appropriati. Gli amministratori aziendali devono solo assicurarsi che i dispositivi possano essere gestiti da Windows Update.

Impostazioni del firmware UEFI

Quando si esegue una reimage del sistema operativo, le impostazioni UEFI non vengono modificate; Tuttavia, nello scenario in cui gli utenti potrebbero aver modificato le impostazioni UEFI stesse prima di una reimage, il seguente aiuterà a determinare se le impostazioni sono corrette.

Strumenti di distribuzione delle impostazioni del firmware OEM

Poiché diverse impostazioni pc windows protette richiedono l'abilitazione di impostazioni del firmware specifiche, un amministratore aziendale dovrà configurare queste impostazioni direttamente nel dispositivo di destinazione o distribuendo le impostazioni del firmware tramite gli strumenti di distribuzione OEM.

Questi strumenti sono disponibili direttamente dall'OEM e si trovano all'esterno dell'ambito di questo documento. Microsoft fornisce informazioni su come eseguire questa operazione per il dispositivo Microsoft Surface in Gestire e distribuire gli aggiornamenti del driver e del firmware di Surface.

Avvio protetto UEFI

L'avvio protetto è uno standard di sicurezza sviluppato dai membri del settore IT per garantire che un dispositivo venga avviato usando solo software considerato attendibile dal relativo produttore OEM (Original Equipment Manufacturer). Al momento dell'avvio del PC, il firmware controlla la firma di ogni parte del software di avvio, inclusi i driver del firmware UEFI (noti anche come ROMs option), le applicazioni EFI e il sistema operativo. Se le firme sono valide, l'avvio del PC e il firmware fornisce il controllo al sistema operativo.

L'OEM può usare le istruzioni del produttore del firmware per creare chiavi di avvio sicure e archiviarle nel firmware del PC. Gli amministratori dell'organizzazione dovranno usare gli strumenti di distribuzione delle impostazioni del firmware OEM per distribuire le impostazioni del firmware di avvio protetto necessarie. Per una descrizione generica di come abilitare e disabilitare l'avvio protetto nel firmware, vedere Abilitazione dell'avvio protetto.

Virtualizzazione firmware

Per supportare l'esecuzione di Macchine virtuali e diversi servizi di sicurezza di Windows, il dispositivo deve avere la virtualizzazione abilitata nel firmware del dispositivo. Le opzioni nel firmware dipendono dal fatto che il dispositivo disponga di una piattaforma Intel o AMD. Per i dispositivi che usano la piattaforma Intel, è necessario abilitare "Intel Virtualization Technology (Intel VT)" e per i dispositivi che usano la piattaforma AMD, sarà necessario abilitare la tecnologia "AMD Virtualization (AMD-V).